Фильтрация https [РЕШЕНО]

[dormidont3]

Здравствуйте все, у меня вопрос, который поднимался не раз, но пишу в надежде что кто то нашел решение... Установлена на сервере в школе связка squid+dansguardian. И всё бы вроде ничего, сайты блокирует только в путь, но беда в том, что блокирует только сайты по http протоколу,  а на https плевать им с высокой колокольни. До недавнего времени просто блокировал поиск по гуглу и всех заставлял пользоваться яндексом, так как там всё работало по http и блокировало поиск на уровне запросов. Сейчас же, стоит набрать в адресной строке какое непотребство и нате вам пожалуйста (не знаю когда, может и давненько, но яндекс перебрался на хттпс). Ладно сайты, они блокируются, но картинки то смотри не хочу. Более того, пресловутый майнкампф открывается на половине сайтов просто потому что там тоже хттпс (взяли моду блин). Переходить на белые списки очень не хочется, потому что в школе будет очень ущербный интернет. DNSы яндекса и тд особо не спасают, нужен именно контент фильтр. Есть ли варинты заставить дансгардиан просматривать https странички?

[Skull]

Используйте фильтрацию по DNS.

[dormidont3]

Дак вопрос не в этом... Фильтрация по ДНС спасает далеко не так хорошо, как хотелось бы, по этому и нужен именно контент фильтр. Dansguardian работал практически идеально, пока не начались проблемы с ssl протоколами... Вот и пытаюсь найти способ фильтровать ssl  на основе содержания страниц, а не по черным спискам DNS

[asy]

но пишу в надежде что кто то нашел решение...
Есть ли варинты заставить дансгардиан просматривать https странички?

Легального решения не существует: https создан именно для того, чтобы избегать возможности просмотра трафика. То, что Вы хотите сделать, является разновидностью MITM-атаки: https://ru.wikipedia.org/wiki/Атака_посредника. Смотрите раздел "Спасёт ли шифрование?".

[dormidont3]

Капец... И что, вариантов кроме фильтрации по DNS нет?

[asy]

Капец... И что, вариантов кроме фильтрации по DNS нет?

Чёрные/белые списки и т.п. Всё, что блокирует хост целиком. Но, фактически, если не запрещать доступ к тому же Гуглю, то вариантов просто нет. Если только запрещать https, но это, сразу, блокировка википедии - она по http больше не работает. Ну или реализовывайте MITM, запрещая использование средств для обнаружения.

[YYY]

До недавнего времени просто блокировал поиск по гуглу и всех заставлял пользоваться яндексом, так как там всё работало по http и блокировало поиск на уровне запросов. Сейчас же, стоит набрать в адресной строке какое непотребство

Попробуйте в связку к ним добавить режик от набора "непотребств" - он по адресу в строке вроде нормально режет :)
black/words/pcre-gov

[asy]

он по адресу в строке вроде нормально режет :)

Он никакого адреса не увидит, если только это не плагин к браузеру.

[dormidont3]

Dansguardian по адресной строке тоже резать может, но это не особо спасает. Самая печаль в том, что есть анонимайзеры работающие через https, а поиск работает. Значит по сути весь интернет доступен.

Что такое MITM не в курсе к сожалению... Попробую изучить...

[YYY]

он по адресу в строке вроде нормально режет :)

Он никакого адреса не увидит, если только это не плагин к браузеру.

да... чойто я торможу о_О

[dormidont3]

он по адресу в строке вроде нормально режет :)

Он никакого адреса не увидит, если только это не плагин к браузеру.

да... чойто я торможу о_О

Может я чего не понял, но dansguardian с этим справляется... По крайней мере в настройках фильтрации по урл стояло регулярное выражение xxx, xxl и несколько других слов. А так как при перенаправлении с яндекса на страницы сайта в адресной строке прописывается сначала "миллиард" разных символов, то часто среди них попадались и такие сочетания. В итоге он резал всё подряд, даже 100% безопасные сайты... Пришлось убрать эту часть ...

[dormidont3]

Нашел в интернете такую программку sslstrip и даже вроде как нашел где скачать конкретно под альт (в официальном репозитории не нашел). Вот этот сайт предлагает готовый пакет http://pkgs.org/download/sslstrip

По поводу незаконнсти думаю поступить так. В определении MITP атаки написано (спасибо за ссылочку на вики), что это внедрение без ведома пользователя. Думаю, что в правилах доступа к интернету в школе добавить пункт, что https тафик бует дешифровываться в целях обеспечения контент фильтрации. По мой логике эта строка сразу легализует использование этого ПО.

Вопросов 2...

Я не очень рабираюсь во всём этом деле, так как по факту учитель информатики-самоучка по этому скажите пожалуйста. Корректный ли предложен пакет на сайте (у меня на сервере установлена система АльтЛинукс школьный сервер)
И даст ли мне эта программа требуемый результат? преобразование https  в http  и фильтрация этого дела при помощи dansguardian?

P.S. И главный вопрос, если всё это сработает, есть ли где то русскоязычный мануал по настройке этого чуда? А то пока порылся, но ничего вразумительного не нашел

[yaleks]

1) Это невозможно, т.к. говна которое якобы следует определять уже тышши 4 и оно пополняется всякими бездельниками имитирующими работу.
2) Чтобы соответствовать хотелкам этих же бездельников, то только белый список (в котором википедии нет, т.к. что-то написано про разные химические соединения встречающиеся в природе и не только). Белый список утвержден и одобрен свыше - http://www.minsvyaz.ru/ru/documents/4761/ 
3) Поисковые системы - google ( https://support.google.com/websearch/answer/186669?hl=ru - вариант 3 , для youtube так же - остаются только мультики про машу и медведя) и yandex ( https://dns.yandex.ru/ - семейный, forward dns zone ). Остальные не пригодны.
4) Если есть желание совершить чудо и удивить мир, то http://habrahabr.ru/post/267851/

[asy]

По поводу незаконнсти думаю поступить так. В определении MITP атаки написано (спасибо за ссылочку на вики), что это внедрение без ведома пользователя. Думаю, что в правилах доступа к интернету в школе добавить пункт, что https тафик бует дешифровываться в целях обеспечения контент фильтрации. По мой логике эта строка сразу легализует использование этого ПО.

Наверное нормально, но надо это ещё как-то объяснить программному обеспечению.

[dormidont3]

По поводу незаконнсти думаю поступить так. В определении MITP атаки написано (спасибо за ссылочку на вики), что это внедрение без ведома пользователя. Думаю, что в правилах доступа к интернету в школе добавить пункт, что https тафик бует дешифровываться в целях обеспечения контент фильтрации. По мой логике эта строка сразу легализует использование этого ПО.

Наверное нормально, но надо это ещё как-то объяснить программному обеспечению.

Вот и у меня тот же вопрос... Хабр говорит, что можно http://habrahabr.ru/post/188444/ но вот как это сделать не пишет... Капец сколько перерыл, везде пишут как при помощи этой проги получит чужие пароли и ни где не нашел как сделать так что бы работал по принципу провайдер - sslstrip - squid - dansguardian - пользователь. Ну или sslstrip и кальмара местами поменять. В принципе пофиг, главное что бы на фильтр трафик приходил расшифрованный и анализировался.

Моих знаний на это в данный момент не хватает...

в идеале я бы даже отключил на sslstrip все логи, что бы не было претензий в краже паролей. Пусть просто дешифрует и позволяет фильтру делать своё дело